如果想禁止私接家用路由器只能采用准入控制+MAC认证技术(802.1x认证、端口安全等)来实现,但是很多场景需要允许家用路由器接入企业网络(例如高校老师办公室想通过wifi上网)。

此时如果某用户将家用路由器的LAN口接到网络那么DHCP就会受到干扰,因为家用路由器也能够提供IP地址,此时可以配置DHCP snooping来防御。

还有一个问题就是用户会私自配置IP地址(在高校的实验室经常遇到),私自配置的IP地址有可能会引发IP地址冲突。此时可以配置IP源防护来强制用户自动获取IP,否则用户手动配置的IP无法上网。(当然部分企业采用微软的AD域环境在系统层面实现强制用户自动获取IP地址)

更多更详细的讲解-请检索肖哥文章和视频:肖哥网络技术




交换机端口禁用vlan1_防止私自接交换机


Dhcp snooping -防止非法的dhcp 服务器

接入层交换机:( sw3和sw2 类似)

sw2:
dhcp enable
dhcp snooping enable
vlan 8
dhcp snooping enable
int e0/0/2 将上联口设置为信任接口(默认所有的接口都是非信任口)
dhcp snooping trusted

dhcp 安全防护

禁止用户手动配置静态ip地址,防止ip地址冲突

利用dhcp snooping 建立ip-mac-接口 的检查映射表项(适合企业用户采用动态ip获取的企业)

所有接入交换机连接用户的接口:

int e0/0/1 (连接用户的接口)
ip source check user-bind enable 开启ip源地址检查功能(需要上面的dhcp snooping 加持)

此时如果用户手动配置静态地址,由于接口没有映射,此时交换机会直接将报文丢弃。(模拟器bug ,不支持)使用user-bind static 静态建立ip-mac-接口 检查表项(这种方法适用于特殊用户必须手动配置ip地址的情况,例如某领导计算机、某共享服务器、打印机 、网络摄像头 等):


交换机端口禁用vlan1_IP_02


user-bind static ip-address 192.168.31.7 mac-address 0021-cccf-1d28 interface Ethernet0/0/2
 interface Ethernet0/0/2
ip source check user-bind enable

即可接在e0/0/2口的PC只能是31.7 mac是1d28 才可以 通过e0/0/2口 若ip和mac 不匹配则报文将被直接丢弃 (模拟器bug 不支持)。

查看用户手动静态的绑定表项s2700 EI (V100R005)


交换机端口禁用vlan1_ip地址_03


查看用户手动静态的绑定表项-模拟器 s3700 (V200R001)


交换机端口禁用vlan1_ip地址_04


将dhcp snooping 动态绑定表项 保存到flash 防止重启丢失(可选配置)

dhcp snooping user-bind autosave flash:/backup.tbl